WooCommerce Bug Exploited in Targeted WordPress Attacks
2023/07/18 InfoSecurity — 人気の WordPress プラグインを侵害しようとする試みが、この数日間で 100万回以上を記録したと、セキュリティ研究者たちが警告している。Wordfence によると、この攻撃は 7月14日に始まり、週末にかけて続き、7月16日には 157,000 件のサイトに対する 130万件の攻撃というピークに達したという。この攻撃は WooCommerce Payments プラグインの、深刻な脆弱性 CVE-2023-28121 (CVSS:9.8) を悪用するものだ。
Continue reading “WooCommerce の深刻な脆弱性 CVE-2023-28121:侵害の試みが 100万回以上も記録される”MOVEit Hack: Number of Impacted Organizations Exceeds 340
2023/07/17 SecurityWeek — Clop グループが仕掛ける MOVEit 攻撃により、影響を受けた組織の数は 340 に達し、1800万人を超える被害者を生み出したと報じられている。サイバー・セキュリティ企業 Emsisoft の脅威アナリストであり、このキャンペーンを監視している Brett Callow は、現時点において米国内の 58 の教育機関を含む、347 の組織が影響を受けていると述べた。この中には、先週に学生と従業員のデータが盗まれた可能性のある、コロラド州立大学も含まれている。
Continue reading “MOVEit ハッキング:340 の組織と 1800万人を超える個人が侵害された – Emsisoft”Microsoft still unsure how hackers stole Azure AD signing key
2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。
Continue reading “Azure AD 署名キーが盗まれた方法:依然として不明だと Microsoft が公表”New SOHO Router Botnet AVrecon Spreads to 70,000 Devices Across 20 Countries
2023/07/14 TheHackerNews — SOHO (Small Office/Home Office) ルーターを2年以上にわたって密かに標的とし、70,000台以上のデバイスに侵入した上で、20カ国にまたがる 40,000 ノードのボットネットを構築した、新種のマルウェアが発見された。Lumen Black Lotus Labs により、AVrecon と名付けられたマルウェアは 、この1年間において SOHO ルーターに焦点を当てた、 ZuoRAT と HiatusRAT に続く3番目のマルウェアとなった。Black Lotus Labs は、「AVrecon は、SOHO ルーターを標的とするボットネットとしては、過去最大級のものである。このキャンペーンの目的は、パスワードの散布からデジタル広告詐欺に至るまで、さまざまな犯罪行為を下支えする秘密のネットワークの構築にあるようだ」と述べている。
Continue reading “AVrecon という SOHO Router ボットネット:20カ国の 70,000 万台のデバイスを制御”LokiBot Malware Targets Windows Users in Office Document Attacks
2023/07/14 InfoSecurity — 悪意の Office 文書を介して拡散する、LokiBot と呼ばれる巧妙なマルウェアに、Windows ユーザーたちが再び狙われている。Fortinet の Security Researcher である Cara Lin の最新アドバイザリによると、攻撃者たちは既知の脆弱性 CVE-2021-40444/CVE-2022-30190 などを悪用することで、Microsoft Office 文書内に悪意のマクロを埋め込んでいるという。これらのマクロが実行されると、被害者のシステム上に LokiBot マルウェアがドロップされ、機密情報の収集などが行われる。
Continue reading “MS Office ドキュメントを悪用する攻撃:LokiBot マルウェアの新たな手口に注意”Genesis Market infrastructure and inventory sold on hacker forum
2023/07/14 BleepingComputer — 盗まれた認証情報の取引所である Genesis Market の管理者は、ハッカーフォーラムでストアを売却し、8月にはオーナーが変わることを発表した。この発表の3ヶ月前には、法執行機関が “Operation Cookie Monster” として、クリアネット上におけるマーケットプレイスのドメインの一部を押収している。
Continue reading “Genesis Market インフラの売買が成立:ダークウェブの老舗は8月に新オーナーへ”Fake Linux vulnerability exploit drops data-stealing malware
2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続/未承認のシステム・アクセス試行/非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。
Continue reading “Linux の偽 PoC エクスプロイトに御用心:GitHub を悪用してマルウェアを配布”Scam Page Volumes Surge 304% Annually
2023/07/12 InfoSecurity — 2022年にはフィッシング・サイトが前年比で 62%増加し、詐欺ページが 304% も急増したことが、セキュリティ研究者たちの研究により明らかになった。Group-IB が 7月12日に発表したレポート Digital Risk Trends 2023 では、フィッシングについては個人情報の窃取につながる脅威として、詐欺については被害者を騙して金銭や機密情報を自発的に引き出す試みとして、それぞれを分類している。同レポートによると、ブランドのイメージやロゴが、詐欺キャンペーンに使用された平均件数は前年比で 162% も増加しており、APAC に至っては 211% も増加していたという。
Continue reading “2022 年の詐欺調査:フィッシング・サイトは 62% 増で、ページ数は 304% 増 – Group-IB”Clop: Behind MOVEit Lies a Loud, Adaptable and Persistent Threat Group
2023/07/12 InfoSecurity — MOVEit サイバー攻撃は拡大し続けており、毎日のように数多くの企業が被害者リストに挙げられている。Emsisoft の脅威アナリストである Brett Callow によると、2023年7月11日までに、この攻撃の犠牲となった企業は 257社で、個人は 17,750,524名に上るという。その一方で、この攻撃を行ったとされるランサムウェア・グループ Clop は、リークサイトの被害者リストを更新し続けている。新たに追加されたのは、大手金融会社 (Deutsche Bank/ING Bank/Post Bank) や 25 の米国の学校などだ。
Continue reading “MOVEit の脆弱性 CVE-2023-34362:Clop ランサムウェア攻撃が 257社に達した”MOVEit Transfer customers warned to patch new critical flaw
2023/07/07 BleepingComputer — Clop ランサムウェアの最近における大規模な侵入で、主として悪用されているソフトウェアである MOVEit Transfer の、深刻な SQL インジェクション脆弱性を含む3つの脆弱性が修正された。この SQL インジェクションの脆弱性は、特別なクエリを細工した攻撃者による、データベースへの不正アクセスやコード実行および、データベースの改ざんを可能にするものだ。そして、これらの攻撃の前提条件として挙げられるのは、対象となるアプリケーションの入出力データにおける、適切なサニタイズが欠落となる。
Continue reading “MOVEit Transfer の3つの深刻な脆弱性が FIX:各バージョンごとに確認すべきアップデートとは?”Cl0p’s MOVEit Campaign Represents a New Era in Cyberattacks
2023/07/06 DarkReading — 6月1日に発見された MOVEit ファイル転送のゼロデイ脆弱性は、6月30日までに少なくとも 160社への侵入に悪用されている。この大規模な恐喝キャンペーンの成功は、ロシア支援のランサムウェア・グループ Cl0p による戦術の進化を象徴している。そして、専門家たちは、ライバルの脅威アクターの注目を集める可能性も高いとしている。MOVEit キャンペーンは、サプライチェーンに対するサイバー攻撃の将来を推測する上で、防衛側の対応方法に関するヒントにもなり得ると、Huntress は指摘している。
Continue reading “Cl0p の MOVEit キャンペーン:160社への侵入は新時代のサイバー攻撃の象徴か?”Neo_Net runs eCrime campaign targeting clients of banks globally
2023/07/04 SecurityAffairs — 先日に vx-underground と SentinelOne が実施した共同調査により、Neo_Net というメキシコの脅威アクターが、世界中の金融機関を標的とした Android マルウェア・キャンペーンを仕掛けていることが明らかになった。この件は、セキュリティ研究者の Pol Thill により報告された。Neo_Net の eCrime キャンペーンは、2021年6月〜2023年4月にスペインとチリの銀行を中心に、世界中の銀行の顧客を標的としていたと報告されている。この脅威アクターは、比較的洗練されていないツールを使用しているが、このキャンペーンが成功した背景には、攻撃インフラを特定のターゲットに合わせて調整する能力があるためだと、専門家は推測している。
Continue reading “世界中の銀行の顧客が標的:メキシコの Neo_Net が eCrime キャンペーンを実施”Beware: New ‘RustBucket’ Malware Variant Targeting macOS Users
2023/07/01 TheHackerNews — 研究者たちが発見したのは、永続性を確立し、セキュリティ・ソフトウェアによる検出を回避する機能を備えた、RustBucket と呼ばれる macOS マルウェアの更新バージョンだ。Elastic Security Labs の研究者たちは、6月29日に公開されたレポートで、「macOS システムを標的とするマルウェア・ファミリーである RustBucket の亜種は、Command-and-Control (C2) のための動的ネットワーク・インフラ手法を活用し、これまで観測されていなかった永続化機能が追加されている」と説明している。
Continue reading “macOS ユーザーを狙う RustBucket マルウェア亜種:特異な永続性メカニズムを装備”Cybercriminals Hijacking Vulnerable SSH Servers in New Proxyjacking Campaign
2023/06/30 TheHackerNews — 金銭的な動機を持つ活発なキャンペーンが、脆弱な SSH サーバを標的とし、それらを秘密裏にプロキシ・ネットワークに参加させている。6月29日 (木) のレポートで Akamai の研究者である Allen West は、「SSH をリモートアクセスに活用する攻撃者が、悪質なスクリプトを実行して被害者のサーバを、 Peer2Profit や Honeygain などの P2P プロキシ・ネットワークへと、密かに参加させる活発なキャンペーンである」と述べている。
Continue reading “Proxyjacking という新たなキャンペーン:SSH サーバを Peer2Profit などに参加させて帯域を搾取”ThirdEye Infostealer Poses New Threat to Windows Users
2023/06/28 InfoSecurity — ThirdEye と呼ばれる新たなインフォ・スティーラー犯が、Windows ユーザーを標的にする可能性があるという。Fortinet の Threat Research Division である FortiGuard Labs は、6月27日 (火) に発表された技術文書で、この新しい脅威について説明している。その中で同社は、ThirdEye は侵害したマシンから貴重なシステム情報を抽出するように設計されており、将来のサイバー攻撃に悪用される可能性があると述べている。
Continue reading “ThirdEye というインフォ・スティーラーが登場:継続する改良に注視が必要”Schneider Electric and Siemens Energy are two more victims of a MOVEit attack
2023/06/27 SecurityAffairs — MOVEit 攻撃の新たな被害者5社が、Clop ランサムウェア・グループにより、ダークウェブのリークサイトに追加された。そのうちの Schneider Electric と Siemens Energy の2社は、世界中の重要な国家インフラで利用される、産業用制御システム ICS (Industrial Control Systems) を提供するベンダーである。
Continue reading “MOVEit 攻撃の新たな被害者:Schneider Electric と Siemens Energy が攻撃された”New Mockingjay process injection technique evades EDR detection
2023/06/27 BleepingComputer — Mockingjay と名付けられた、新しいプロセス・インジェクションの手法により、脅威たちは EDR (Endpoint Detection and Response) などのセキュリティ製品による検知を回避し、侵害したシステム上で悪意のコードを密かに実行できるという。この手法を発見したのは、サイバー・セキュリティ企業 Security Joes の研究者たちである、具体的に言うと、RWX (Read/Write/Execute) セクションを持つ正規の DLL を利用して、EDR のフックを回避し、リモート・プロセスにコードを注入するものとなる。
Continue reading “Mockingjay という新たなプロセス・インジェクションの手法:既存の EDR 検出を回避していく”Powerful JavaScript Dropper PindOS Distributes Bumblebee and IcedID Malware
2023/06/23 TheHackerNews — 新種の JavaScript ドロッパーにより、ネクスト・ステージ・ペイロードが配信されていることが確認された。サイバー・セキュリティ企業 Deep Instinct は、この Bumblebee や IcedID にも似ているマルウェアを、User-Agent 内に名前を持つ PindOS として追跡している。Bumblebee と IcedID は、どちらもローダーとしての役割を担い、侵害したホスト上でランサムウェアなどのベクターとして機能する。最近の Proofpoint のレポートでは、IcedID が銀行詐欺の機能を放棄し、マルウェア配信のみに特化していることが強調されている。
Continue reading “PindOS という JavaScript マルウェア・ローダー: Bumblebee/IcedID との関係は?”MOVEIt breach impacts GenWorth, CalPERS as data for 3.2 million exposed
2023/06/23 BleepingComputer — PBI Research Services (PBI) を侵害した、最近の MOVEit Transfer データ窃取攻撃により、合計で 475万人分のデータが盗まれたと、同社の顧客三社が公表している。一連の攻撃は 2023年5月27日に始まっており、Clop ランサムウェア・ギャングが MOVEit Transfer のゼロデイ脆弱性を悪用し、数百の企業からデータを盗んだインシデントだとされている。この1週間において Clop ランサムウェア・ギャングは、被害者に対する身代金支払いのプレッシャーとして、影響を受けた組織をデータ漏洩サイトに段階的にリストアップし、企業を恐喝し始めている。
Continue reading “MOVEit ゼロデイ侵害の被害が拡大:保険/年金などの契約者 3.2M 人分のデータが流出?”Microsoft Teams vulnerability allows attackers to deliver malware to employees
2023/06/23 HelpNetSecurity — Microsoft Teams の受信トレイへ向けて、攻撃者たちがダイレクトにマルウェアを配信できる脆弱性を、セキュリティ研究者たちが発見した。Jumpsec の研究者である Max Corbridge は、「Microsoft Teams を使用している組織は、Microsoft のデフォルト設定を継承しているため、組織外のユーザから内部の従業員へ向けて、連絡を取ることが可能になっている」と説明している。この脆弱性を悪用したマルウェア配信攻撃は、ソーシャル・エンジニアリングを入り口として、高確率で成功しているようだ。
Continue reading “Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下”Apple addressed actively exploited zero-day flaws in iOS, macOS, and Safari
2023/06/22 SecurityAffairs — Apple は、iOS/iPadOS/macOS/watchOS/Safari で発見された脆弱性のうち、野放し状態で活発に悪用されている脆弱性に対処した。具体的に言うと、先日に公開された Triangulation オペレーションでも悪用されていた、セロデイ脆弱性 CVE-2023-32434/CVE-2023-32435 である。Kaspersky の研究者たちは、Triangulation オペレーションを調査し、iOS デバイスにスパイウェアを配信するために採用された、エクスプロイト・チェーンに関する詳細を発見した。6月の上旬に Kaspersky の研究者たちは、Triangulation という名の長期的なキャンペーンの一環として、ゼロクリックのエクスプロイトで iOS デバイスを標的にする未知の APT グループを発見している。
Continue reading “Apple が iOS/macOS/Safari のゼロデイ脆弱性に対応:ゼロクリックで RCE という強敵”Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites
2023/06/21 SecurityWeek — WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。
Continue reading “WordPress Plugin の深刻な脆弱性が FIX:脆弱なオンライン販売サイトが数万件”3CX data exposed, third-party to blame
2023/06/20 SecurityAffairs — サイバー攻撃の被害者を嘲笑うべきではないが、「初めて騙されたのなら相手が悪いが、続けて騙されたのなら自分が悪い」という言葉が、昔から繰り返して使われてきたのには、なんらかの理由があるのだろう。2023年の初めに、北朝鮮のハッカーと思われる人物が 3CX にサプライチェーン攻撃を仕掛け、同社のソフトウェアを使用してデバイス上にマルウェアをばらまいた。
Continue reading “3CX のデータ漏洩:Elasticsearch/Kibana のオープンなインスタンスが原因だったのか?”New RDStealer malware steals from drives shared over Remote Desktop
2023/06/20 BleepingComputer — RedClouds として追跡されているサイバースパイ/ハッキングのキャンペーンは、カスタム・マルウェア RDStealer を使用し、Remote Desktop 接続を介して共有されたドライブから、データを自動的に盗み出すものだ。この、Bitdefender Labs が発見した悪質なキャンペーンは、2022年以降において東アジアのシステムを標的にしていることが確認されている。このキャンペーンを、特定の脅威アクターによるものと断定はできないが、国家に支援される洗練された APT レベルの技術を持ち、関心の対象は中国と一致しているという。
Continue reading “RDStealer という強力なマルウェアが登場:RDP 侵害に特化した機能で東アジアを狙っている”Android spyware camouflaged as VPN, chat apps on Google Play
2023/06/19 BleepingComputer — Google Play 上の3件の Android アプリが、標的のデバイスから位置情報や連絡先リストなどを収集するに、国家に支援された脅威アクターにより運用されていたことが判明した。それらの悪意の Android アプリを発見した Cyfirma は、「遅くとも 2018年以降において、東南アジアの著名な組織を標的としている、インドのハッキング・グループ APT-C-35 (DoNot) が操作していたと、中程度の信頼性で判断している」と述べている。
Continue reading “Google Play にインド APT 由来のスパイウェア:VPN/Chat アプリを装っていた”Millions of Oregon, Louisiana state IDs stolen in MOVEit breach
2023/06/16 BleepingComputer — ルイジアナ州とオレゴン州が警告を発したのは、MOVEit Transfer MFT (Managed File Transfer) セキュリティファイル転送システムをハッキングしたランサムウェア・ギャングが、数百万の運転免許証がデータなどを含むデータを窃取し、流出させたインシデントに関するものである。これらの攻撃は、ゼロデイ脆弱性 CVE-2023-34362 を悪用して、5月27日に MOVEit Transfer サーバに対する世界的なハッキングを開始した、Clop ランサムウェア・オペレーションによるものである。一連の攻撃により、世界中で流出したデータが広く公開され、企業/政府/自治体などに影響が及んでいる。
Continue reading “MOVEit と行政データ:ルイジアナとオレゴンの数百万人の個人情報が漏えい”New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries
2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID/パスワード/ローカルマシン環境変数/ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。
Continue reading “Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見”Barracuda ESG zero-day attacks linked to suspected Chinese hackers
2023/06/15 BleepingComputer — Mandiant が UNC4841 として追跡している親中派ハッカー・グループへの疑いが、Barracuda ESG (Email Security Gateway) アプライアンス上の、パッチ適用済みゼロデイ脆弱性を悪用する、データ窃取攻撃と関連していることが判明した。この脅威アクターは、2022年10月10日頃から、Barracuda の添付ファイル・スキャン・モジュールに存在する、ゼロデイ・リモート・コマンド・インジェクション脆弱性 CVE-2023-2868 を悪用し始めた。5月19日に、この欠陥を発見した Barracuda は、脆弱性が悪用されていることを直ちに公表し、CISA は米国連邦政府機関に対して、セキュリティ更新プログラムを適用するよう警告を発した。
Continue reading “Barracuda ESG がデバイス交換を選択:中国 APT が仕掛けた強力なバックドアとは?”Microsoft Outs New Russian APT Linked to Wiper Attacks in Ukraine
2023/06/14 SecurityWeek — Microsoft のセキュリティ研究者たちは、ロシアの General Staff Main Intelligence Directorate (GRU) に関連する新たな APT グループの情報を公表し、この脅威アクターがウクライナの組織へ向けた破壊的なワイパー・マルウェア攻撃に取り組んでいることを警告している。同社の脅威情報チームが発表した新しいレポートでは、このグループは Cadet Blizzard と名付けられ、戦時環境におけるマルウェアの範囲と使用方法を明確にするための、兆候と証拠が記録されている。
Continue reading “Microsoft が警告するロシアの APT:ワイパー攻撃における WhisperGate と Cadet Blizzard の関連性”CISA: LockBit ransomware extorted $91 million in 1,700 U.S. attacks
2023/06/14 BleepingComputer — CISA が発表した共同アドバイザリには、2020年以降の米国組織に対する約 1,700件の攻撃において、LockBit ランサムウェア・ギャングが、約 $91M の恐喝に成功していると記されている。RaaS (Ransomware-as-a-Service) オペレーションである LockBit は、2022年におけるランサムウェアの脅威をリードし、そのデータ漏洩サイトで開示した犠牲者の数は最多であったと、米国/英国/オーストラリア/カナダ/ドイツ/フランス/ニュージーランドなどの、それぞれの当局が述べている。
Continue reading “LockBit の被害総額が $91M に達した:CISA/FBI/MS-ISAC などが共同勧告”MFA Bypass Kits Account For One Million Monthly Messages
2023/06/14 InfoSecurity — Proofpoint によると、脅威アクターは 2022年もユーザー防御を回避するための戦術を進化させ続けており、その中でも多要素認証 (MFA) バイパス・キットは、数百万件ものフィッシング・メッセージで利用されていたという。Proofpoint は最新のレポート The Human Factor 2023 で、数年前から市販のツールキットが、サイバー犯罪者たちによるフィッシング活動を推進してきたが、MFA バイパス専用の特殊ツールは、比較的新しい光景であると述べている。
Continue reading “MFA 侵害キットの台頭:月間で 100万件のバイパス・メッセージを記録 – Proofpoint”WordPress Stripe payment plugin bug leaks customer order details
2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のEコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa/MasterCard/American Express/Apple Pay/Google Pay などによる決済が可能になる。
Continue reading “WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX”Exploit released for MOVEit RCE bug used in data theft attacks
2023/06/12 BleepingComputer — MOVEit Transfer MFT (managed file transfer) ソリューションに存在する、リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイト・コードを、Horizon3 のセキュリティ研究者たちがリリースした。この脆弱性は、Clop ランサムウェア・ギャングが、データ窃取攻撃で悪用しているものだ。この CVE-2023-34362 は、SQL インジェクションの脆弱性である。パッチ未適用の MOVEit サーバ上で、その悪用に成功した未認証の攻撃者は、不正にアクセスした後に、リモートから任意のコードを実行できる。
Continue reading “MOVEit 深刻な RCE 脆弱性 CVE-2023-34362:提供された PoC を Clop が狙う?”Microsoft Uncovers Banking AitM Phishing and BEC Attacks Targeting Financial Giants
2023/06/09 TheHackerNews — Microsoft が明らかにしたのは、銀行/金融サービス機関が、新たな多段階 AitM (adversary-in-the-middle) フィッシングおよび BEC (business email compromise) 攻撃の標的になっていることだ。6月8日の報告書で同社は、「この攻撃は、信頼できるベンダーから発生し、複数の組織にまたがる一連の AiTM 攻撃と、それに続くBEC 活動へと移行している」と述べている。このクラスターについて、Microsoft は Storm-1167 という名称で追跡しているが、その攻撃において間接プロキシが使用されていたことを指摘している。
Continue reading “バンキング AitM Phishing/BEC 攻撃の増大:Microsoft が金融機関に発した警告とは?”“PowerDrop” PowerShell Malware Targets US Aerospace Industry
2023/06/07 InfoSecurity — PowerDrop と命名された、新たな PowerShell マルウェア・スクリプトが、米国の航空宇宙防衛産業を標的とした攻撃で使用されていることが判った。このマルウェアのサンプルは、防衛請負業者のネットワークにおいて、Adlumin のセキュリティ研究者たちにより5月に発見された。6月6日に Adlumin の研究チームは、「このマルウェアは、基本的な既製の脅威を用い、また、APT (Advanced Persistent Threat) グループの戦術も用いている。また PowerDrop は、偽装/暗号化/復号化エなどの、高度な検出回避機能を搭載している」と、PowerDrop に関するアドバイザリで発表している。
Continue reading “PowerDrop は新種の PowerShell マルウェア:米国の航空宇宙産業を攻撃している”Magento, WooCommerce, WordPress, and Shopify Exploited in Web Skimmer Attack
2023/06/05 TheHackerNews — 電子商取引サイトから PII (Personally Identifiable Information) やクレジットカードのデータを盗むことを目的とした、現在進行中の Magecart スタイルの Web スキマー・キャンペーンをサイバー・セキュリティ研究者たちが発見した。これまでの Magecart キャンペーンと異なる点は、乗っ取られたサイトが間に合せの Command and Control (C2) サーバとして機能することで、知らないうちに被害者のサイトが、悪質なコードの配布に悪用されている点である。Akamai は、北米/中南米/欧州などで、さまざまな規模の被害者を確認したと述べている。何千人ものサイト訪問者の、個人情報が不正に収集され売却されるという、危機的な状況に陥る可能性があると指摘している。
Continue reading “Magento/WooCommerce などが標的:商取引サイトを狙う Magecart キャンペーン”Online sellers targeted by new information-stealing malware campaign
2023/06/03 BleepingComputer — Vidar という情報窃取マルウェアを展開し、オンライン販売業者たちを標的とする新たなキャンペーンを介して、認証情報を盗み出す脅威アクターが、これまで以上に有害な攻撃を仕掛けている。この、今週に発見された新しいキャンペーンは、電子メールや Web サイトの問い合わせフォームを悪用して、オンラインストアの管理者に苦情を送りつけるところから始まる。それらの電子メールは、オンライン・ストアの顧客のふりをして、注文が適切に処理されないままに、銀行口座から $550 が差し引かれたと主張する。
Continue reading “Vidar 情報スティーラーの手口を分析:オンライン販売業者たちを狙う悪質キャンペーンとは?”Malicious PyPI Packages Use Compiled Python Code to Bypass Detection
2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”Windows 11 to require SMB signing to prevent NTLM relay attacks
2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名:セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。
Continue reading “Windows 11 の SMB 署名を義務化:NTLM リレー攻撃に対する保護を優先する”Chinese Phishing Gang “PostalFurious” Expands Campaign
2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール/フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。
Continue reading “PostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている”Malicious Chrome extensions with 75M installs removed from Web Store
2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。
Continue reading “Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが”New Horabot campaign takes over victim’s Gmail, Outlook accounts
2023/06/01 BleepingComputer — Hotabot ボットネット・マルウェアを取り込んだ、未知のキャンペーンが、遅くとも 2020年11月以降において、ラテン・アメリカのスペイン語圏のユーザーを標的とし、バンキングトロイの木馬とスパム・ツールの感染を広めていた。このマルウェアにより、被害者の Outlook/Gmail/Hotmail/Yahoo のメール・アカウントを制御した攻撃者は、受信箱に届くメールデータや 2FA コードを盗み出し、侵害したアカウントからフィッシング・メールを送信していたようだ。この新しい Horabot とういうマルウェアは、Cisco Talos のアナリストたちにより発見され、その背後にいる脅威アクターは、ブラジルに拠点を置いている可能性が高いと報告されている。
Continue reading “Horabot マルウェア:Outlook/Gmail などを狙う多段階のフィッシング・チェーン”Phishing campaigns thrive as evasive tactics outsmart conventional detection
2023/06/01 HelpNetSecurity — フィッシング攻撃におけるキットの利用が、2022年には 25%増加したことが、Group-IB の研究により判明した。フィッシング・キットの主な傾向としては、アクセス制御と高度な検知回避技術の利用の増加が確認された。また、アンチボット技術やランダム化による回避戦術の増加は、従来の検知システムにとって大きな脅威であり、フィッシング・キャンペーンの寿命を延ばすものとなっている。
Continue reading “フィッシング攻撃の最新分析:キットの利用が増加している理由を考えよう – Group-IB”Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks
2023/06/01 TheHackerNews — QBot (Qakbot) マルウェアの、高度な回避性と粘着性に関する分析により、その C2 サーバの 25% が、1日しか活動していないことが判明した。Lumen Black Lotus Labs は、「QBot の 50% のサーバーがアクティブなのが、1週間以内であることからして、適応性が高くて動的な C2 インフラが使用されていることが分かる」と、The Hacker News と共有したレポートで指摘している。さらに、セキュリティ研究者である Chris Formosa と Steve Rudd は、「このボットネットは、ホストされた VPS のネットワークに潜むのではなく、住宅用 IP スペースと感染した Web サーバに、そのインフラを隠すための技術を適応させている」と述べている。
Continue reading “QBot マルウェアの延命術:住居用 IP を短期間で切り替える C2 サーバ補充戦略とは?”Russia Blames US Intelligence for iOS Zero-Click Attacks
2023/06/01 SecurityWeek — 2023年6月1日に、ロシアに本拠を置く Kaspersky は、企業ネットワーク内の iOS デバイスに対して、ゼロクリックの iMessage エクスプロイトを仕掛ける APT アクターを発見したと発表した。 同じ日に、ロシアの連邦保安庁 (FSB:Federal Security Service) も、国内の契約者や外国公館が所有する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが進行していることについて、米国の情報機関を非難した。ソ連の KGB を引き継いだ、ロシアのセキュリティ機関 FSB は、NATO 諸国/中国/イスラエル/シリアに赴任する外交官の iPhone が、”米国の諜報機関による偵察オペレーション” により感染したと主張している。
Continue reading “iOS の iMessage を侵害するゼロクリック攻撃:ロシアが米情報機関を非難している”Spyware Found in Google Play Apps With Over 420 Million Downloads
2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集/攻撃者へのファイル送信/クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。
Continue reading “SpinOk というスパイウェア:Google Play アプリに組み込まれ 420M ダウンロード!”RomCom RAT Using Deceptive Web of Rogue Software Sites for Covert Attacks
2023/05/31 TheHackerNews — RomCom RAT の背後にいる脅威アクターたちは、遅くとも 2022年7月以降において、人気ソフトウェアの不正バージョンを宣伝する偽サイトのネットワークを活用して、ターゲットに侵入しているようだ。Trend Micro は、Void Rabisu という名前の悪意のアクティビティを追跡しているが、Unit 42 は Tropical Scorpius と呼び、Mandiant は UNC2596 と呼んでいる。
Continue reading “RomCom RAT と Void Rabisu の関連性:サイバー犯罪と APT 攻撃の境界線は曖昧?”Dark Pink APT Group Expands Tooling and Targets
2023/05/31 InfoSecurity — 著名な APT グループ Dark Pink によるキャンペーンの範囲は、当初に考えられていたよりも広く、その新たな被害者は、ベルギーにおける1件を含む、全体で5件に達していることを、研究者たちは確認している。中国との関連が指摘されている Dark Pink は、主に東南アジア諸国をターゲットに活動していると、これまでは考えられてきた。しかし、Group-IB が確認したところによると、被害者はタイやブルネイだけではなく、ベルギーにも広がっているとのことだ。
Continue reading “Dark Pink がツールを拡充しターゲットを拡大:ベルギーへの攻撃も成功させている”Exploit released for RCE flaw in popular ReportLab PDF library
2023/05/31 BleepingComputer — HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在する。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開された。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなる。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされている。
Continue reading “Python ReportLab PDF Lib の深刻な脆弱性:悪意の HTML を読ませるだけでコード実行”Human Error Fuels Industrial APT Attacks, Kaspersky Reports
2023/05/30 InfoSecurity — サイバーセキュリティ企業である Kaspersky が、産業部門における APT 攻撃の主要因を特定した。今日の最新レポートで取り上げられている、その第一の要因は OT (Operational Technology) ネットワークにおける隔離の不在である。Kaspersky の専門家たちは、エンジニアリング・ワークステーションが、IT と OTのネットワークに接続されている事例を確認している。このようなネットワーク構成に依存した隔離では、熟練した攻撃者により操作される可能性が生じる。その結果として、隔離されているように見えるネットワークへのマルウェア感染や、その後のマルウェア・トラフィックの管理などが可能になってしまう。
Continue reading “OT ネットワークと人的なエラー:APT 攻撃を助長する要因について考える”
IoT OT Security News 
You must be logged in to post a comment.